信息安全解决方案设计概述(doc32页)(正式版).pdf

第 1章 信息安全解决方案设计 在第 2 章里，我们分别从 网络 、应用 、终端 及 管理 四个方面对公司的信息系统安全建设 进行了风险及需求的分析。 同时根据第 3 章的安全方案设计原则， 我们将公司网络安全建设 分为以下几个方面进行了详细的方案设计： 边界安全解决方案； 内网安全解决方案； 应用安全解决方案； 安全管理解决方案； 安全服务解决方案。 下面我们分别针对这 5 个安全解决方案进行详细的描述。 1.1 边界安全解决方案 在第 2 章的网络安全风险及需求分析中， 我们主要从外部网络连接及内部网络运行之间 进行了风险的分析。边界安全解决方案就是针对与外部网络连接处的安全方面。 网络是用户业务和数据通信的纽带、 桥梁， 网络的主要功能就是为用户业务和数据通信 提供可靠的、满足传输服务质量的传输通道。 就公司网络系统来讲， 网络边界安全负责保护和检测进出网络流量； 另一方面， 对网络 中一些重要的子系统，其边界安全考虑的是进出系统网络流量的保护和控制。 针对公司网络系统，来自外部互联网的非安全行为和因素包括： 未经授权的网络访问 身份（网络地址）欺骗 黑客攻击 病毒感染 针对以上的风险分析及需求的总结， 我们建议在网络边界处设置 防火墙系统 、安全网关 及远程访问系统 等来完善公司的边界网络安全保护。 1.1.1 防火墙系统 为在公司网络与外界网络连接处保障安全， 我们建议配置防火墙系统。 将防火墙放置在 网络联结处，这样可以通过以下方式保护网络： 为防火墙配置适当的网络访问规则， 可以防止来自外部网络对内网的未经授权访问； 防止源地址欺骗 ，使得外部黑客不可能将自身伪装成系统内部人员， 而对网络发起 攻击； 通过 对网络流量的流量模式进行整型和服务质量保证措施 ，保证网络应用的可用性 和可靠性； 可以根据时间定义防火墙的安全规则， 满足网络在不同时间有不同安全需求的现实 需要； 提供用户认证机制 ，使网络访问规则和用户直接联系起来， 安全更为有效和针对性； 对网络攻击进行检测 ，与防火墙内置的 IDS 功能共同组建一个多级网络检测体系。 目前新型状态检测的防火墙有效的解决并改善了传统防火墙产品在性能及功能上存在 的缺陷， 状态检测防火墙具有更高的安全性、 系统稳定性、 更加显著的功能特性和优异的网 络性能， 同时具有广泛的适应能力。 在不损失网络性能的同时， 能够实现网络安全策略的准 确制定与执行， 同时有效地抵御来自非可信任网络的攻击， 并具有对防火墙系统安全性能的 诊断功能。其内置的入侵检测系统， 可以自动识别黑客的入侵， 并对其采取确切的响应措施， 有效保护网络的安全，同时使防火墙系统具备无可匹敌的安全稳定性。 我们可以根据业务模式及具体网络结构方式，不仅仅在内部网络与外部网络之间，同 时在内部网络与内部网络之间和各子业务系统之间，考虑采用防火墙设备进行逻辑隔离， 控制来自内外网络的用户对重要业务系统的访问。 防火墙技术部署说明 （根据具体的网络情况描述） 产品选型及功能介绍 （根据具体产品描述） 1.1.2 安全网关 由于考虑到公司与互联网（ Internet ）进行连接，所以我们建议在系统网络与 Internet